Eu não sou um especialista em LDAP. Eu preciso executar um ldapsearch para determinar a participação em um grupo ... Eu li sobre isso, e foi bem sucedido em obter um simple ldapsearch para executar, que exibia informações do usuário ... então eu tentei construir um grupo "memberOf" consulta ... sem alegria ... Eu executo a consulta, ela diz "sucesso", mas não retorna nenhum dado .. Eu tentei isso com MUITOS gorups, então estou certo de que há membros no grupo que estou consultando ... Nem uma vez eu tive nenhum dado retornado ... aqui está a consulta mais recente que estou executando:
./ldapsearch \
-h one.two.three.com \
-b dc=one,dc=two,dc=three,dc=com \
-D 'XX-Sub\myuid' \
-w 'pswdxxx' \
"(&(objectCategory=user)(memberOf=DN=dba_grp))" \
distinguishedName
Eu joguei a informação do ldap (objectclass = *), e não vejo nada que estou omitindo, etc. mas eu não sou tão versado no que algumas coisas significam, como domínio, subdomínio, etc. (isto é, o que eles significam na perspectiva do ldap, eu sei o que eles significam fora do ldap) se necessário eu poderia postar uma versão higienizada das definições de configuração, ou qualquer coisa, mas eu não posso postar links nomeados reais, etc. naquela). Eu realmente tentei resolver isso por conta própria, e tenho trabalhado nisso há dias ... Eu ainda estou procurando por conselhos, etc. Mas eu adoraria se alguém pudesse me ajudar a focar no assunto, então eu posso ser um pouco mais confiante de que estou pelo menos indo na direção certa ... Muito obrigado ...
"memberOf" pelo menos no AD é armazenado como lista de distinguishedNames.
você pode querer tentar isso:
(&(objectCategory=user)(memberOf=cn=MyCustomGroup,ou=Groups,dc=one,dc=two,dc=three,dc=com))
Além disso, convém certificar-se de que seu DN de ligação tenha direitos para emitir consultas de leitura em relação a todo o Diretório, já que a maioria do AD só pode emitir consultas no DN do seu link.
Tags ldap